Digitale Souveränität – ein Freibrief für die nächste De-Mail?

In der aktuellen politischen Diskussion wird häufig eine digitalpolitische Entkoppelung von den USA bzw. den US-amerikanischem „Big Tech“ verlangt. Der Beitrag soll dies auf Sinnhaftigkeit und Praktikabilität überprüfen.

Doch was ist eigentlich digitale Souveränität? Geht man von einer weitgehenden Definition von Technologiesouveränität aus, so ist dies die eigenständige Entwicklungs-, Produktions- und Betriebskompetenz. Umgelegt auf die Supply Chain im IT-Bereich begänne also eine so definierte digitale Souveränität in Bergbau und Raffinierung relevanter Rohstoffe wie seltener Erden und endete beim Support der Anwendungssoftware. Eine solch umfassende Sicht digitaler Souveränität ist offensichtlich für Deutschland (vermutlich auch für die EU) nicht realisierbar, allenfalls für die VR China oder die USA.

Wer digitalisiert, kommt mit Hard- und Softwareprodukten deutscher Hersteller nicht weit. Im DAX-40 finden sich mit Infineon und SAP gerade zwei solche Hersteller, wovon Infineon vom Umsatz der weltweiten Chipherstellern auf Platz 16 weltweit steht. Letztendlich hat Deutschland einen einzigen „Global Player“ in Sachen Digitalisierung: die SAP SE.

Die Wirtschaftswissenschaft sieht das nicht als Problem, im Gegenteil. Die weltumspannende Kooperation freier Märkte hat zu einem beispiellosen Wohlfahrtsgewinn für die ganze Welt geführt. Unsere Weltwirtschaft arbeitet grundsätzlich arbeitsteilig. Nach David Ricardo und seiner Theorie der komparativen Wettbewerbsvorteile sollte seit 1817 klar sein, dass Globalisierung dem mittelalterlichen Feudalstaat ebenso wie dem Merkantilismus deutlich überlegen ist. Somit ist wirtschaftliche Abhängigkeit an sich nichts Verwerfliches, denn sie ist wechselseitig.

Dem wird das Argument der Resilienz entgegengebracht. Die Krisen der letzten Jahre haben die Anfälligkeit weltweiter Versorgungsketten dargelegt, ebenso die gegenwärtigen kriegerischen Auseinandersetzungen am Persischen Golf.

Im Falle von Hard- und Softwareprodukten bestehen die Abhängigkeiten allerdings weniger in Lieferstopps bzw. Sanktionen, sondern eher in eingebauten Funktionen, die vom Herstellerstaat genutzt werden können.

Bereits 1994, also unter der Präsidentschaft Bill Clinton und unter Vorsitz des Vizepräsidenten Al Gore – und wohl auch auf deren Initiative – beschloss der 103. Kongress den Communications Assistance for Law Enforcement Act. Dieser war bereits in der Präambel  sehr deutlich: „To amend title 18, United States Code, to make clear a telecommunications carrier's duty to cooperate in the interception of communications for law enforcement purposes, and for other purposes.“

Unter „telecommunications carrier“ fallen nicht nur klassische Telekomunternehmen wie AT&T, sondern eben auch „providers of certain broadband and Voice over Internet Protocol (VoIP) services“, also Unternehmen wie Zoom, Cisco (WebEx) und dergleichen. Deshalb müssen US-Herstellerfirmen entsprechende Zugriffsmöglichkeiten selbst vorsehen oder verwenden Lösungen von spezialisierten Anbietern. Auch existieren definierte Schnittstellen hierfür. Videotelefonate mit VoIP abzuhören ist dem jeweiligen Dienstanbieter technisch möglich. Zoom bietet hierfür Behörden sogar eine eigene Webseite an.

Die USA sind eine Demokratie, weshalb die einschlägigen Funktionen und Möglichkeiten gesetzlich geregelt sind – im Gegensatz zu vielen anderen Staaten, die ihre möglicherweise ebenso existierenden Backdoors nicht in ihren Gesetzen dokumentieren. Man denke an die rotchinesische Plattform Tiktok, die weltweit freiwillig mit Daten gefüttert wird.

Hersteller können also auf gesetzlich oder sonst wie legitimierte Aufforderung ihres Sitzstaates gehalten sein, bewusst Funktionalitäten einzubauen, die dem Käufer und Nutzer verborgen bleiben. Und dies kann genauso gut bei Herstellern aus der Europäischen Union sein. „Kill Switches“ sind ebenso möglich wie die de-facto-Ausschaltung durch Entzug von notwendigen Updates und Ersatzteilen. Um gefährliche Abhängigkeiten zu vermeiden, gibt es prinzipiell drei Strategien:

Ein Wechsel des Herstellers bringt aus Sicht des Kunden wenig, denn gerade in der IKT-Branche sind Übernahmen an der Tagesordnung. Der durchaus innovative Augsburger Roboterhersteller Kuka wurde 2016, trotz Mahnungen und Warnungen, vom chinesischen Medea-Konzern übernommen, die Technologie wurde peu à peu nach China gezogen. Dass AI-Startups aus Deutschland von US- oder anderen Firmen übernommen werden, ist der Normalfall.

Ein Wechsel des Herstellers weg von einem z. B. US-Unternehmen kann durchaus dazu führen, dass der neue Hersteller früher oder später auch übernommen wird. Dieses Risiko ist inhärent. Auch ist nicht auszuschließen, dass ein Unternehmen einfach den Sitzstaat wechselt. So verlegte 2021 der Ölkonzern Royal Dutch Shell den Firmensitz von Den Haag nach London und strich bei der Gelegenheit „Royal Dutch“ aus dem Namen.  Auch Fiat S.p.A. und die Linde AG verlegten in den letzten Jahren ihre Firmensitze aus Italien bzw. Deutschland weg.

Es ist leider nicht bekannt, wie viel die Herstellung und der Versuch der Nutzung der De-Mail zwischen 2012 und heute, wo diese „Lösung“ definitiv gescheitert ist, gekostet hat. Sicher ist jedoch, dass

Was die De-Mail allerdings sehr wohl erreichte, war die höchst wirksame Behinderung der Einführung qualifizierter elektronischer Signaturen in Deutschland, wie sie in der europäischen eIDAS-VO und ihrer Vorgängerin Signaturrichtlinie 1999/93/EG normiert sind, da letztere als nicht notwendig oder vielleicht gar als Konkurrenz gesehen wurden.

Das Modell „nationale Eigenentwicklung“ wurde auch während er COVID-19-Pandemie fortgesetzt: So wurde eine nationale Corona-Warn-App um ca. 220 Mio. Euro staatlich entwickelt und betrieben, während die erfolgreiche TraceTogether-App samt physischen Bluetooth-Tokens für Nichtsmartphonebesitzer für weniger als 13,8 Mio. Singapur-Dollar (ca. 9,3 Millionen Euro) erstellt und betrieben wurde. Von den föderal erstellten, funktional oft untauglichen Programmen für die Impftermine gar nicht zu sprechen.

Die Bundesrepublik setzt auf Open Source. So schreibt das Zentrum für Digitale Souveränität der (ZenDiS) auf seinen Webseiten, „Open Source ist ein wirksames Werkzeug für mehr Digitale Souveränität in allen relevanten Technologiefeldern: [..] Offener Code, offene Standards und Schnittstellen machen die Verwaltung unabhängig von Herstellern, ermöglichen die Einflussnahme auf Funktionalitäten und Betriebslogiken und sichern die Interoperabilität von Systemen. Sie erlauben es, den Anbieter zu wechseln und Expert:innen mit dem Schließen von Sicherheitslücken zu beauftragen.“

Hier begeht Deutschland wesentliche Denkfehler:

Eine Versachlichung der Diskussion ist geboten. Blinde „Open Source“-Gläubigkeit ist ebenso falsch wie die Nachentwicklung auf dem Markt bestehender Produkte unter nationalen Vorzeichen. Letzten Endes kann es nur um eine seriöse Abwägung gehen, welche Abhängigkeiten in welchem Gebiet bestehen, welche hinnehmbar sind und welche nicht. Es stellt sich v.a. die Frage, wie kritisch e-Government-Anwendungen tatsächlich sind, welche Gefährdungen von ihnen ausgehen können. Die Entwicklung von Free and Open Source Software – die Dritten gratis zur Verfügung gestellt wird – mit Steuergeld ist beispielsweise zumindest keine originäre Aufgabe der Landeshauptstadt München, wenn man die Gemeindeordnung für den Freistaat Bayern liest. 

Es ist zu hoffen, dass das in Zeiten klammer Haushalte hinterfragt wird. Und die Ressourcen effizient eingesetzt werden.